内部統制とＩＳＯの内部監査②

　では、ＩＳＯ内部監査をベースとした場合、どのような監査手法を用いれば、深度のある監査ができ、監査結果の組織貢献度が高くなるのでしょうか？

 

　そのヒントとなったのは、「リスクマネジメントＴＯＤＡＹ」という研究誌の2008年3月号に掲載されていた「内部統制導入とＩＳＯの視点(名古屋リスク研究会)」という論文でした。

 

　その論文は、内部統制導入における課題の解決視点にＩＳＯの考え方を照らして検証されたもので、直接的には私の問題意識の対局にあるものでしたが、裏返すと、ＩＳＯ運用を高める事で内部統制システムの一層の強化を図れることを示しているとも言えました。

　特に、その中で、着目したのは「内部統制の6つの構成要素とＩＳＯ規格の共通性」と題して掲示されていた表でした。ある意味、目から鱗のような感じでした。2008年当時は、ＩＳＯ９００１や14001などはそれぞれ独立した規格であり、複合運用による弊害も多く見られている状況でしたので、これを内部統制の構成要素に置き換えるというのは極めて斬新でした。

その後、ＩＳＯ規格では、共通のプラットフォーム：ＭＳＳの導入が検討され、今日的には上部構造（ＨＬＳ）として運用が始まりました。

 　これをもとに、私の独自の視点で、名古屋リスク研究会が作成した表をベースにした「内部統制・ＩＳＯ対照表」を整理してみました。

  

 

 

　ＩＳＯの「上部構造（ＨＬＳ）」では、これまでの規格では十分に明示されていなかった「リスク評価・マネジメント」の視点が加わり、ＰＤＣＡサイクルがよりすっきりと整理されています。これにより、内部統制（ＣＯＳＯキューブ）の構造とＩＳＯのＨＬＳの共通性は一層高まりました。

 

　このように整理すると、ＩＳＯにおけるマネジメントシステムの構造と、内部統制システムの構造にかなり共通点がある事が判ります。

 

　内部監査基準に基づく内部監査（内部統制監査）においては、内部統制の構成要素を基準に、監査を組み立てていましたから、このように整理できたことで、ＩＳＯ監査と内部統制監査とを一つの枠の中で展開できることになりました。

 

　実際、この考え方に到達した後は、ＩＳＯ監査と内部統制監査は別物ではなく、統合内部監査として実施する事になり、組織全体から選出された内部監査員（当時は２０名程度）には、ＩＳＯ規格の学習と内部統制システムの学習、さらに、内部監査の養成研修を行い、以前に明示した「内部監査の指針：内部監査標準工程表」に基づく監査を実施することができるようになりました。

 

　端的に言えば、２０名もの内部監査員は、監査対象とする部署の内部統制・マネジメントシステム全体を監査領域にして監査し、監査結果は、規格項番に捉われないようにしたのです。日常業務の問題を掘り起こし、原因を追究し、是正・改善提案を行うように切り替えました。

 

　こうすることで、監査対象部署からの評価も高くなりました。表面的な指摘や形式的な是正改善ではなく、日常悩んでいる問題や気付かなかった問題を内部監査員とディスカッションを通じて深め合い、改善に向けたアイディアを得ることができるという評価に変わったのです。

 

　ここまで考え方を整理し実践したところで、内部統制システムにＩＳＯマネジメントシステムを取り込んだ「総合マネジメントシステム」という考え方に至りました。

 

　これは、もともと、２０１２年度の東海地区内部監査研究会で、コープいしかわの内部監査担当から伺った「考え方」でしたが、当時の私には、難解で、なかなか理解できないものでした。しかし、内部統制監査とＩＳＯ監査を統合して実施したことで、ようやく全体像が理解できました。

 

　３年ほどの実践を経て、考え方を整理し直し、２０１７年度には、内部統制事務局とＭＳ推進事務局に対して、内部監査室から「総合マネジメントシステムへの移行」提案するに至ったわけです。何度かの協議を経て、両事務局から、内部統制委員会及びＭＳ管理委員会の両方へ、「総合マネジメントシステムへの移行」提案を行うことになり、先の「ＩＳＯと内部統制の共通性」を示した表をベースに、内部監査室として、提案・プレゼンを行い、経営トップにも承諾を取り付け、運用へ至りました。

 

詳細は次のところで述べさせていただきます。